Die Tricks der Spammer
Die Tricks der Spammer
Die Tricks der Spammer
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
132<br />
AKTUAL » UTAMA » HARDWARE » KOMUNIKASI » SOFTWARE » PRAKTEK » INTERNET<br />
mengatakan bahwa ia telah diberi otorisasi<br />
penuh oleh seseorang untuk menanyakan<br />
hal tersebut.<br />
3 Technical Support (Menyamar sebagai<br />
bagian technical support)<br />
Contoh: Cracker menyamar sebagai salah<br />
satu dari tim teknisi dan berusaha mengumpulkan<br />
informasi dari korbannya.<br />
3 In Person (Mendatangi langsung ke<br />
tempat korban)<br />
Contoh: Cracker mendatangi langsung<br />
tempat atau lokasi korbannya untuk mengumpulkan<br />
informasi dari lokasi di<br />
sekitar tempat korbannya, antara lain<br />
dengan menyamar sebagai petugas kebersihan<br />
dan mencari atau mengumpulkan<br />
data/informasi dari tempat sampah yang<br />
ada di tempat korban (dumpster diving),<br />
atau berusaha melihat sekeliling pada saat<br />
user sedang mengetikkan password di<br />
komputernya (shoul<strong>der</strong> surfing).<br />
Beberapa aturan yang dapat mencegah<br />
atau setidaknya mengurangi akibat atau<br />
kerusakan yang dapat terjadi pada human<br />
based social engineering adalah:<br />
3 Semua pengunjung yang bukan<br />
karyawan internal dari perusahaan harus<br />
selalu dikawal selama berada di dalam<br />
perusahaan.<br />
3 Segera laporkan apabila secara tibatiba<br />
perusahaan Anda kedatangan tamu<br />
yang mengaku sebagai petugas kebersihan,<br />
atau siapa saja yang datang tanpa<br />
ada pemberitahuan terlebih dahulu.<br />
Periksa dengan teliti identitas mereka.<br />
3 Kunci selalu ruangan tempat penyimpanan<br />
data atau peralatan penting, seperti<br />
server, pabx, ruang filing, dan sebagainya.<br />
3 Buat daftar inventaris dari semua<br />
barang yang ada di dalam perusahaan.<br />
Lakukan pemeriksaan dan laporkan<br />
setiap kehilangan barang yang terjadi.<br />
Computer based social engineering dapat<br />
dikategorikan menjadi empat jenis:<br />
3 Mail/IM (Instant Messenger Attachment)<br />
Setiap karyawan umumnya sering atau<br />
setidaknya pernah menggunakan software<br />
e-mail atau instant messenger<br />
(chatting). Melalui fasilitas semacam itu<br />
seorang cracker dapat dengan mudah<br />
mengirimkan suatu file attachment berisi<br />
trojan, virus atau worm dengan tujuan<br />
CHIP | JULI 2004<br />
Keamanan<br />
CONTOH SKENARIO SOCIAL ENGINEERING<br />
Cracker: "Selamat pagi pak. Saya dari PT “A”, ingin menawarkan perangkat komputer ke<br />
perusahaan bapak."<br />
Employee: "Barang apa yang ingin ditawarkan?"<br />
Cracker: "Kami menjual segala jenis keperluan IT, mulai dari hardware, software dan service. Kalau<br />
boleh tahu, perusahaan bapak menggunakan server jenis apa?"<br />
Employee: "Perusahaan kami menggunakan server merek "CCC" berprosesor "DDD" dengan memory<br />
dan kapasitas HDD sebesar "WWW". Selain itu server kami dilengkapi pula dengan UPS<br />
"SSS" dan back up system "FFF"<br />
Cracker: "O begitu. Kalau boleh tahu sistem apa yang dipasang pada server perusahaan bapak<br />
tersebut? Dan, aplikasi apa saja yang dijalankan?"<br />
Employee: "Kami menggunakan sistem operasi Windows 2003 dengan aplikasi Microsoft Exchange,<br />
MS Office XP, dan AutoCAD."<br />
Cracker: "Perusahaan kami juga merupakan salah satu supplier untuk sistem pengamanan<br />
komputer. Saat ini sistem pengamanan apa saja yang sudah terpasang pada<br />
jaringan perusahaan bapak?"<br />
Employee: "Perusahaan kami menggunakan Cisco PIX Firewall dengan Firmware version "BBB" dan<br />
menggunakan sistem access list pada router Cisco versi "Z" serta menerapkan system<br />
VPN untuk menghubungkan antarcabang."<br />
Cracker: "Apabila kami ingin mengirimkan penawaran barang, berikut daftar harganya melalui fax<br />
ke bapak, berapa nomor fax yang bisa dituju?"<br />
Employee: "Anda bisa kirim fax ke nomor berikut ini "542xxxx"<br />
Cracker: "Baik, akan segera kami fax daftar barangnya ke tempat bapak. Terima kasih banyak atas<br />
waktunya."<br />
Employee: "Terima kasih kembali."<br />
untuk mengumpulkan data atau informasi<br />
dari komputer korban.<br />
3 Pop-Up Windows<br />
Cracker dapat membuat suatu software<br />
untuk menipu user agar memasukkan<br />
username dan password miliknya dengan<br />
menggunakan pop-up window pada saat<br />
user sedang menggunakan komputer.<br />
3 Websites<br />
Cracker dapat membuat suatu website<br />
tipuan untuk menarik user agar memasukkan<br />
alamat e-mail dan password pada<br />
saat mendaftar (register) untuk memperoleh<br />
hadiah, misalnya. Biasanya password<br />
yang digunakan oleh kebanyakan<br />
user adalah sama dengan password yang<br />
digunakan di PC kantor.<br />
3 Spam Email<br />
Cracker dapat mengirimkan e-mail berisi<br />
attachment yang mengandung virus atau<br />
trojan. Virus atau trojan ini dapat dimanfaatkan<br />
untuk mengumpulkan informasi<br />
yang terdapat di komputer user<br />
(korban).<br />
Reverse Social Engineering<br />
Reverse social engineering merupakan suatu<br />
bentuk social engineering tingkat tinggi.<br />
Proses yang dilakukan merupakan kebalikan<br />
dari social engineering biasa. Pada reverse<br />
social engineering cracker berusaha<br />
menciptakan suatu situasi sedemikian rupa<br />
sehingga target atau korban akan berusaha<br />
untuk menghubunginya untuk meminta<br />
bantuan, bukan sebaliknya.<br />
Contoh kasus, seorang cracker mengirimkan<br />
suatu virus kepada target korbannya<br />
sehingga komputer korban rusak<br />
terinfeksi oleh virus. Pada tahap ini, korban<br />
akan berusaha untuk mencari bantuan<br />
dan sang cracker menyamar sebagai<br />
seorang dari tim support yang berusaha<br />
memberikan bantuan. Target kemudian<br />
secara tidak sadar akan mengikuti semua<br />
perintah atau petunjuk dari cracker yang<br />
akan memudahkan cracker tersebut<br />
mengumpulkan informasi.<br />
Ethical Hackers dan Tim Akademik dari IPDC<br />
(Informatics Professional Development Centre) c<br />
INFO<br />
Jalan Prof. Dr. Satrio No: 296, Karet - Jakarta Selatan<br />
Telp: (021)-5260388, Fax: (021)-52962830<br />
E-mail: CEH@informaiticsgroup.co.id